作为人工智能技术的重要分支，图像辨认技术在众多范畴不断遭到普遍关注，但是不为人知是这项技术面前其实隐藏着一定的平安风险。日前，360平安研讨院发布《AI平安风险白皮书》，白皮书中指便出360平安团队发如今图像辨认深度学习的数据处置流程中存在平安风险。攻击者在不应用平台软件完成破绽或机器学习模型弱点的状况下，只应用深度学习数据流中的处置成绩，就可以完成逃逸或数据净化攻击。

置信许多人都听说过，人工智能深度学习零碎的中心是神经元网络。通常状况下，图像辨认深度学习运用的静态神经元网络会假定本人的输出是一个固定的维度。但是，实践状况却是：实践的输出并不一定与神经元网络模型输出具有相反的维度。

图1：通常状况下，原始图片会经过维度调整，深度学习零碎才干辨认其信息

要处理这一成绩的办法有两种，一种是对输出的维度停止强行限制，另外一种办法是对输出停止维度调整。比方在图像辨认使用中，深度学习零碎会将大的输出图片停止维度缩减，小的图片停止维度缩小，采用的算法包括最近点抽取和双线性插值等。这种处置的目的就是对图片降维的同时尽量坚持图片原有的样子，以确保深度学习零碎做出正确的判别。

但是，上述的状况十分理想化。在实践中，这些常用的降维算法并没有思索歹意结构的输出。也就是说：攻击者可以事前对输出停止特殊结构处置。经过处置后，降维函数会输入异常的后果。

上面这组图片就是攻击者针对最常用的双线性插值结构的歹意攻击样本，虽然原始输出是一张羊群的图片，但是经过降维处置后，图像辨认零碎会将其误判为一只雪地里的白狼；虽然原始输出是一只卡通小羊，但图像辨认零碎会将其误判为一只心爱的小猫。

图2：降维处置后，图像辨认零碎能够输入错误严重的后果

再比方上面这组实例，一些关于人来说很清楚的数字，深度学习零碎却会误判。上面显示了了四组图片，每一组中，右边是对使用的输出，也就是人看到的图片；左边是人看不到，但是被机器学习模型最初处置的图片。

图3：降维算法能够让深度学习零碎呈现严重误判

依据360平安研讨人员的剖析：简直一切网下流行的深度学习图片辨认顺序都有被降维攻击的风险，处理办法包括对人工过滤异常图片、人工比照辨认后果，以及采用更为强健的降维算法等。对此，白皮书特别强高端智能装备、新一代信息技术、新能源、新材料、新制造、新零售、新技术、生物制药等新的产业集群正在迸发活力;创新驱动、科技支撑、知识产权转化、技术转移等新的动能正在超越旧的动力，新经济成为支撑经济发展的重要力量。调：人工智能平安成绩不容无视，360平安研讨院希望大众在拥抱人工智能热潮的同时，也能 继续关注深度学习零碎中的平安成绩。